派生XXx給予時G,GXG,GXg,g^x和G(1/x)G(1/X)g^{(1/x)}?

如果攻擊者可以訪問組 G 的生成器 g，並且可以訪問 $ g^{x} $ 和 $ g^{(1/x)} $ , 是否更容易推導出 $ x $ 與他只能訪問的時候相比 $ g $ 和 $ g^{x} $ ?

**編輯：**我的問題不同於“我們能否將 Diffie-Hellman 問題簡化為“離散對數反轉”問題？因為在這種情況下，對手有價值，不需要預言機來推導它

您可以派生的任何組 $ x $ 從 $ g, g^x, g^{1/x} $ 離散對數問題也將等同於（計算）Diffie-Hellman 問題。由於通常不知道這是否正確，因此我們不知道任何通用的推導方法 $ x $ 從這些價值觀。

這種等價性很容易證明；如果它基於解決 cDH 程序允許我們計算的事實 $ g^{1/x} $ 給定 $ g, g^x $ . 所以，如果我們假設我們可以恢復 $ x $ 從 $ g, g^x, g^{1/x} $ ，那麼我們可以解決離散對數問題（給定 $ g, g^x $ ) 通過首先恢復 $ g^{1/x} $ （使用我們的 cDH Oracle），然後給出 $ g, g^x, g^{1/x} $ ， 恢復 $ x $

引用自：https://crypto.stackexchange.com/questions/35553